UE (RGPD)

• Consentement explicite : avant d’envoyer des emails ou des SMS, l’établissement/l’entreprise doit obtenir un consentement explicite de la part des clients. Ce consentement doit être informé, libre, spécifique et univoque. Les clients doivent comprendre clairement pourquoi et comment leurs données seront utilisées.
• Autres bases légales : outre le consentement, le RGPD permet d’autres bases légales pour traiter des données (ex. : intérêt légitime, exécution d’un contrat), mais pour des emails promotionnels ou des demandes d’évaluation, le consentement reste la norme.

Suisse (LPD)

• La LPD suisse suit de près le RGPD et impose également l’obtention du consentement préalable pour le traitement des données personnelles, surtout pour des communications non sollicitées.
• Les critères de validité du consentement sont similaires à ceux du RGPD, avec une exigence que les individus soient informés de manière claire et transparente.

UE

• Politique de confidentialité : une politique de confidentialité accessible et claire doit être mise à la disposition de quiconque souhaite la consulter. Elle doit détailler les types de données collectées, leur finalité, la durée de conservation, les droits des utilisateurs, et les coordonnées du délégué à la protection des données (DPD) si nécessaire.
• Droit d’accès et de rectification : les utilisateurs doivent être informés de leurs droits, y compris le droit d’accéder à leurs données, de les rectifier, de les supprimer, ou de limiter leur traitement.
• Droit de retrait : ils doivent aussi pouvoir retirer leur consentement à tout moment de manière simple (lien de désinscription dans chaque communication, par exemple).

Suisse

• La LPD impose également une transparence totale quant aux modalités de collecte et de traitement des données. Les utilisateurs doivent savoir qui collecte les données, à quelles fins, et avec qui elles sont partagées.
• Un aspect particulier en Suisse est l’obligation d’informer explicitement lorsque des données sont transférées vers des pays qui ne fournissent pas un niveau de protection adéquat (hors de l’Espace économique européen).

UE

• Le RGPD exige de garantir la sécurité des données personnelles par des mesures techniques et organisationnelles appropriées. Cela inclut le chiffrement des données, des politiques strictes de gestion des accès, la protection contre les fuites de données, et la mise en place de procédures en cas de violation de données (notification sous 72 heures).
• Une analyse d’impact sur la protection des données (AIPD) doit être réalisée lorsque le système est susceptible de présenter un risque élevé pour les droits et libertés des personnes (par exemple, si des données sensibles sont traitées), mais ce n’est pas le cas avec notre système.

Suisse

• La Suisse impose des exigences similaires. Il faut mettre en place des mesures de sécurité proportionnées à la nature des données traitées (ex. : systèmes de sauvegarde, contrôle d’accès, chiffrement des données sensibles). La LPD impose également de notifier les violations de données, bien qu’elle soit moins stricte que le RGPD sur les délais de notification.

UE

• Le RGPD impose une limitation de la durée de conservation des données.  Les données personnelles ne doivent être conservées que pendant le temps nécessaire à la finalité pour laquelle elles ont été collectées. En l’occurrence, une fois l’évaluation de l’établissement réalisée, les données de contact devront être supprimées ou anonymisées.

Suisse

• La LPD adopte une approche similaire : les données ne peuvent être conservées que pendant une durée justifiée par la finalité de leur collecte. Une gestion stricte des durées de conservation est donc essentielle.

UE

• Si des données personnelles sont transférées vers un pays tiers, en dehors de l’Espace économique européen, ce pays doit offrir un niveau de protection adéquat (par exemple, via des clauses contractuelles types ou des Binding Corporate Rules). Les États-Unis, par exemple, ne sont pas automatiquement considérés comme offrant un tel niveau de protection, et des solutions doivent être trouvées au cas par cas.

Suisse

• La Suisse a une liste de pays « adéquats » légèrement différente de celle de l’UE. Tout transfert de données hors Suisse (et hors EEE) doit donc faire l’objet d’une évaluation stricte. En pratique, pour simplifier les choses, des clauses contractuelles types sont souvent utilisées, à l’instar du RGPD.

UE

• Si un traitement à grande échelle de données sensibles ou de données de suivi systématique des individus est effectué, un Délégué à la Protection des Données doit être nommé. Celui-ci est responsable de veiller à la conformité au RGPD, de conseiller l’entreprise et d’être le point de contact avec les autorités.

Suisse

• La LPD n’impose pas formellement la nomination d’un DPD, mais il est fortement recommandé d’en avoir un, surtout si des données personnelles sont traitées à grande échelle.

UE et Suisse

Si des sous-traitants sont impliqués dans le traitement de certaines données (ex. : fournisseurs d’emailing ou d’envoi de SMS), il faut s’assurer qu’ils respectent eux aussi les règles du RGPD ou de la LPD. Cela passe par la signature de contrats de sous-traitance avec des clauses de conformité.

Les sanctions peuvent être sévères. En Europe, le RGPD prévoit des amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. La LPD suisse prévoit également des sanctions, bien que généralement moins sévères, mais le non-respect des règles suisses pourrait entraîner des restrictions dans les échanges avec l’UE.

Pour être en conformité avec les régulations européenne et suisse, il faut donc :

• Obtenir un consentement explicite et informé,
• Mettre en place une politique de confidentialité transparente,
• Assurer la sécurité des données (chiffrement, contrôle d’accès, etc.),
• Limiter la durée de conservation des données,
• Encadrer les transferts internationaux de données,
• Désigner un délégué à la protection des données si nécessaire,
• Mettre en place des clauses contractuelles spécifiques avec les sous-traitants.
• Surveiller les évolutions de ces législations pour s’assurer de rester conforme.